Heeft u wel eens een onderbuikgevoel nadat de telefoonverbinding verbroken was?

Misschien bent u dan slachtoffer geweest van een Social Engineer. Een Social Engineer, een uiterst vriendelijk persoon, die door zich of voordoet als een ander, of door de juiste technieken te gebruiken, (gevoelige)bedrijfsinformatie verzamelt, welke hij vervolgens gebruikt in de vervolgstappen van de criminele planningscyclus. (Security Profiling)

Elke crimineel verzamelt, nadat hij zijn doel bepaald heeft, zoveel mogelijk informatie om zijn/haar doelen te halen. Dit doet hij door het internet te raadplegen,  te surveilleren op afstand, als bezoeker de doellocatie te bezoeken of door simpelweg even te bellen! Tijdens deze informatieve bezoeken of telefoontjes wordt u direct en persoonlijk geconfronteerd met deze listige Social Engineer.

Social engineering; is de verzameling van technieken waarmee een kwaadwillende aanvalt op informatiesystemen door de zwakste schakel in de beveiliging te kraken; de mens. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen.

Slimme camerasystemen of andere detectiemiddelen herkennen het werk van een Social Engineer niet. Hij maakt immers gebruik van de zwakste schakel. Doordat de mens van oorsprong bereidwillig en behulpzaam is, zijn wij een makkelijk doelwit voor de Social Engineer.

Een bekend voorbeeld van Social Engineering is de zgn. babbeltruuk. Een persoon die zich aan uw voordeur anders voordoet dan wie hij is. Een ander bekend voorbeeld van deze vorm van Social Engineering is het telefoongesprek, waarin de Social Engineer zich voordoet als collega van een ander filiaal of helpdesk en door slim te vragen ongemerkt heel veel informatie krijgt.

U moet er niet aan denken dat de afdeling financiën op telefonisch verzoek van de directeur een factuur betaalt of dat een beveiligingsmedewerker zijn/haar taken in detail beschrijft tijdens een buurtborrel.

Uiteraard zijn er mogelijkheden om het de Social Engineer moeilijk te maken en eerder zal afhaken, denk hierbij aan: Security-awareness-trainingen, telefoons met nummerherkenning, terugbellen, verifiëren bij leiding voordat er geantwoord wordt en onder andere het toepassen van Security Questioning.

Wilt u meer weten over deze eeuwenoude misleiding-methode of heeft u het idee dat u benaderd bent door een Social Engineer! Neem gerust contact op met uw beveiligingsadviseur!

Remco de Graaff RSE RHSOI